web产品安全典型案例与测试实战分享

讯飞质量月Web产品安全典型案例与测试实战分享测试技术部李晓南安徽科大讯飞信息科技股份有限公司AnHuiUSTCiFlyTekCO.,LTD.讯飞质量月常见安全漏洞安全测试流程123典型案例头疼的非法文件上传泛滥的服务配置错误SDL&成功案例五种安全漏洞知识介绍现有安全测试流程介绍主要内容讯飞质量月常见安全漏洞安全测试流程123典型案例头疼的非法文件上传泛滥的服务配置错误SDL&成功案例五种安全漏洞知识介绍现有安全测试流程介绍主要内容讯飞质量月问题描述Page4又有任务了！又被挂马了！！那就先扫扫马儿吧！！！看到这个邮件你会想到什么？问题描述讯飞质量月原因分析Page5果然——“万马奔腾”原因分析讯飞质量月原因分析Page6你是那么坏原因分析讯飞质量月•城堡结构图：•发生时间点：2012年5月•可能进城方式：SQL注入、文件上传Page7但是，木马是怎么进城的呢？原因分析讯飞质量月•寻找日志（无果）•代码扫描SQL注入（无果）•寻找系统上传点（无果）Page8于是乎~原因分析讯飞质量月原因分析Page9但这仅仅是——猜想~忽然间~原因分析讯飞质量月•运维人员定期对现网服务器进行木马扫描•开发人员对代码扫描中的安全隐患进行修复•项目组在应用程序发布前进行一轮安全性测试——结合《安全上线指标》Page10临时解决方案讯飞质量月问题描述Page11该来的还是来了-陕西普通话站点又出问题了类似系统类似问题但这次没有木马问题描述讯飞质量月Page12前车之鉴——源头一定要堵上•源头没有堵上•关键点没有考虑全面•没有进行系统化测试原因分析讯飞质量月解决方案Page13不离不弃——GoogleHacking解决方案讯飞质量月解决方案Page14峰回路转解决方案讯飞质量月•【安全漏洞预警2013-11-26】畅言教育网存在高危安全漏洞，用户可上传木马至服务器•【安全漏洞预警2013-12-23】国家普通话水平测试信息管理系统“gd.cltt.org”存在任意文件上传漏洞，导致服务器可被挂马•【安全漏洞预警2014-01-02】安徽省工商联统一会员数据库服务器可被挂马（也会影响到联商在线）•【安全漏洞预警2014-03-24】讯飞研究院的个性化语音社区存在上传挂马漏洞•安全测试小组现网产品人工渗透结果2014073003：语音云官网存在文件上传漏洞，可导致服务器被控制•安全测试小组现网产品人工渗透结果2014081412：存在另一处文件上传漏洞，可导致服务器被控制及网页被篡改Page15世界很大，我的眼里都是你世界很小，我的眼里只有你现状讯飞质量月•站点入口一定要全部清楚•站点一定不要遗漏安全测试•文件上传一定要严格控制客户端、服务端均校验上传文件的后缀名随机重命名上传的文件上传目录不开启执行权限Page16建议讯飞质量月Page17网站备份你有吗？问题描述讯飞质量月Page18目录浏览你有吗？问题描述讯飞质量月Page19Struts2、Discuz、Siteserver、ThinkSNS。。。你有吗？问题描述讯飞质量月•安全测试小组现网产品人工渗透结果2014072301：讯飞官网存在服务器任意文件下载漏洞•安全测试小组现网产品人工渗透结果2014080606：教育评价系统网站备份文件可下载•安全测试小组现网产品人工渗透结果2014081108：教育评价系统网站存在目录浏览漏洞•安全测试小组现网产品人工渗透结果2014081310：语音云开放平台Linux系统密码文件曝露及程序物理目录曝露•安全测试小组现网产品人工渗透结果2014081411：语音云开放平台SSO认证存在默认配置风险及敏感性信息曝露•安全测试小组现网产品人工渗透结果2014082014：开心熊宝存在目录浏览漏洞导致相关Webservice泄露•【安全漏洞预警2013-11-18】科大讯飞招聘官网因使用SiteserverCMS3.4.3架构，导致存在严重注入漏洞•【安全测试团队漏洞公告】SiteserverCMS中后台找回密码功能模块存在严重校验漏洞•安全测试团队漏洞公告2013-11-1：apache+mod_cgid+php存在严重攻击漏洞•安全测试团队漏洞公告2013-11-18：SiteserverCMS3.6.3以下版本存在严重注入漏洞及XSS类漏洞•【安全漏洞预警2014-03-24】智元网站后台编辑器eWebEditor登录密码已经曝露，请尽快修改•【安全漏洞预警2014-03-24】智能语音分析系统因使用JBOSS的后台，且配置不完善导致出现远程部署挂马漏洞Page20满满都是你！！！问题描述讯飞质量月Page21占比80%问题描述讯飞质量月Page22•修复困难吗？•开发人员安全意识薄弱，代码拷贝，组件滥用，没有安全编码规范，导致产品存在安全隐患•运维人员缺乏基础安全配置导致安全问题，临时版本随意上线、系统和相关组件没有定期更新，导致产品出现安全问题•架构设计时未充分考虑安全需求，架构采取不安全的外部开源代码、插件、CMS、论坛系统等，导致了产品存在安全缺陷Why？原因分析讯飞质量月Page23怎么办？安全培训安全配置安全编码上线标准安全评审安全测试解决方案讯飞质量月Page24安全培训•《信息安全，你我共建》、《WEB安全》、《安全编码规范》、《运维安全》、《个人隐私安全》架构设计•识别信息，风险评估，制定安全目标以及最低BUG标准•威胁建模：系统架构概述，分解应用程序，识别风险，识别漏洞安全编码•使用安全框架、安全API•《安全编码规范》安全测试•黑盒测试（OWASP）•白盒测试发布检查•BUG修复验证•《安全上线指标》、《安全配置》上线维护•安全巡检、人工渗透•应急响应解决方案讯飞质量月Page25解决方案讯飞质量月解决方案-接口人Page26组织负责人职责架构团队张建华、王亚飞架构设计充分考虑安全需求，安全技术组人员参与安全架构设计。开发团队吴畏负责在部门内推广安全编码规范，跟进安全问题修复，保障安全问题修复率和修复时间。测试团队沈丹推广安全测试流程和测试用例，落实安全测试。运维团队刘永波、刘俊杰落实业务安全标准和业务上线安全流程。安全技术组曾晖提供全面的安全指导、核心产品安全检测、产品安全巡检。领导支持严峻、钟锟、郑乾明监督指导各项安全工作落实情况。解决方案-接口人讯飞质量月解决方案-成功案例Page27时间7月20日8月15日业务站点数量173173完成扫描数量60173漏洞数量18204已修复漏洞数量4200站点关闭22项目组忽略22巡检完成进度30%100%漏洞修复进度44%100%人工渗透情况8月11日业务站点数量12计划完成人工渗透数量5漏洞数量4已修复漏洞数量3项目组忽略1人工渗透进度20%漏洞修复进度100%应急响应情况7月1日安全事件数量2漏洞修复进度100%成功案例讯飞质量月•扩大安全巡检范围•加强人工渗透力度•完善安全测试实验室•补充安全测试接口人Page28后期计划讯飞质量月交流时间讯飞质量月我们身边的安全问题CSDN京东数据库泄露酒店开房信息泄露。。。。讯飞质量月我们身边的安全问题讯飞质量月我们身边的安全问题讯飞质量月•网站打不开了•网站首页上多了一则小广告•网站被挂木马了•我的账号密码怎么失效了•后台管理系统被入侵了•内网被渗透了•~~什么是Web安全呢讯飞质量月Web安全分类讯飞质量月常见安全漏洞安全测试流程123典型案例头疼的非法文件上传泛滥的服务配置错误SDL&成功案例五种安全漏洞知识介绍现有安全测试流程介绍主要内容讯飞质量月IIIIIIIVSQL注入XSS漏洞目录遍历漏洞常见安全漏洞V文件上传漏洞CSRF漏洞常见安全漏洞讯飞质量月IIIIIISQL注入XSS漏洞目录遍历漏洞常见安全漏洞V文件上传漏洞CSRF漏洞IV常见安全漏洞讯飞质量月数据库管理系统/数据库数据库服务器客户端用户1的PC客户端用户2的PC客户端黑客的PC网站WEB服务器一个简单拓扑图讯飞质量月客户端数据库脚本引擎用户想要查看newsid为91的新闻请求返回=91请求返回获取参数newsid的值为91，动态构造SQL语句：Select*fromNEWSwherenewsid=91，向数据库发起查询请求在NEWS表中查询newsid为91的所有记录返回查询到的所有记录处理返回的所有记录，如过滤和编码特殊字符等，生成静态网页并返回给客户端将网站返回的网页展示给用户动态网页如何生成？讯飞质量月•示例演示:•思考提问:SQL注入漏洞的成因是什么?数据与代码未严格分离；用户提交的参数数据未做充分检查过滤即被代入到SQL命令中，改变了原有SQL命令的“语义”，且成功被数据库执行。•SQL注入漏洞的成因:SQL注入式怎样形成的？讯飞质量月漏洞描述很多应用程序都使用数据库来存储信息。SQL命令就是前端应用程序和后端数据库之间的接口。攻击者可利用应用程序根据提交的数据动态生成SQL命令的特性，在URL、表单域，或者其他的输入域中输入自己的SQL命令，改变SQL命令的操作，将被修改的SQL命令注入到后端数据库引擎执行。Stringquery=SELECTidFROMuser_tableWHERE+username='+username+'AND+password='+password+';攻击者可以注入其他的查询语句，例如把username设为：’OR1=1;DROPTABLEuser_data;--这个查询将变为：SELECTidFROMuser_tableWHEREusername=''OR1=1;DROPTABLEuser_table;--'ANDpassword='x';它相当于：SELECTidFROMuser_tableWHEREusername=''OR1=1;DROPTABLEuser_table;这个语句将执行句法上完全正确的SELECT语句，并利用SQLDROP命令清空user_table。原理SQL注入大型互联网分站中：百度、腾讯、新浪、联通、电信管理系统后台登陆：政府网站、企业网站Id查询请求：论坛帖子、商品、文章现状讯飞质量月手工方法利用工具：Havij、Pangolin、SqlmapSQL注入讯飞质量月修改或控制操作系统例如xp_cmdshellnetstopiisadmin“可停止服务器的IIS服务泄露数据表中数据个人用户名、密码，账户等信息SQL数据结构被黑客探知例如SELECT*FROMsys.tables“Update工资SetMoney=Money*”.$_GET[‘努力’];网页中加入恶意链接，放置木马等取得系统较高权限后破坏硬盘数据，系统瘫痪例如xp_cmdshellFORMATC:SQL注入危害系统管理账号被篡改攻击数据库服务器，ALTERLOGINsaWITHPASSWORD='xxxxxx'SQL注入讯飞质量月SQL注入讯飞质量月IIIIIIIVSQL注入XSS漏洞目录遍历漏洞常见安全漏洞V文件上传漏洞CSRF漏洞常见安全漏洞讯飞质量月•示例演示://172.16.90.19:8080/DVWA/index.php•XSS漏洞描述跨站脚本攻击（Cross-sitescripting，通常简称为XSS）它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。如获取用户Cookie信息XSS漏洞讯飞质量月XSS漏洞讯飞质量月类型–反射型（Non-persistent）通过GET、POST、Referer等参数未加处理直接输出到页面执行。最为常见的，攻击者主要利用此类型通过